Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Microsoft XML Core Services versions 3.0, 4.0 et 6.0 pour toutes les versions maintenues de Microsoft Windows ;
- Microsoft XML Core Services version 5.0 pour toutes les éditions maintenues de Microsoft Office 2003 et Microsoft Office 2007.
Résumé
Une vulnérabilité a été découverte dans Microsoft XML Core Services. Son exploitation permet l'exécution de code arbitraire à distance si un utilisateur visite une page Web spécialement conçue.
Selon Microsoft, cette vulnérabilité est activement exploitée, il est donc important d'appliquer le correctif de sécurité.
Solution
Appliquer le correctif de Microsoft MS12-043 (cf. section Documentation). La mise à jour corrige les versions 3.0, 4.0, 6.0 et, depuis le 14 août 2012, la version 5.0 de XML Core.
Documentation
- Avis de sécurité Microsoft 2719615 du 12 juin 2012 :
http://technet.microsoft.com/fr-fr/security/advisory/2719615
http://technet.microsoft.com/en-us/security/advisory/2719615
- Article de bloc-notes (blog) de Microsoft du 10 juillet 2012 :
http://blogs.technet.com/b/srd/archive/2012/07/10/msxml-5-steps-to-stay-protected.aspx
- Bulletin de sécurité Microsoft MS12-043 du 10 juillet 2012 :
http://technet.microsoft.com/fr-fr/security/bulletin/MS12-043
http://technet.microsoft.com/en-us/security/bulletin/MS12-043
- Référence CVE CVE-2012-1889 :
https://www.cve.org/CVERecord?id=CVE-2012-1889
